Användarhandbok Avbryt

Lägg till Microsoft Azure Sync i din katalog

Azure Sync automatiserar användarhanteringen av din Admin Console-katalog. Du kan enkelt lägga till Azure Sync till valfri federerad katalog i Admin Console oavsett vilken identitetsleverantör (IdP) den har. Om du vill använda Azure Sync måste organisationens användar- och gruppdata vara lagrade i Microsoft Azure Active Directory (Azure AD).

Obs!
  • Om din identitetsleverantör är Microsoft Azure Active Directory (Azure AD) och du inte har en federerad katalog i Adobe Admin Console kan du konfigurera federation på följande sätt:
    • OpenID Connect (OIDC): Skapa en federerad katalog på några sekunder via OIDC. Hela konfigurationsprocessen sker huvudsakligen i Adobe Admin Console.
    • SSO med Azure AD via SAML: Skapa en federerad katalog med hjälp av Azure AD med SAML-konfiguration. Nästan hela konfigurationsprocessen sker i Microsoft Azure Portal.
  • Om du har en fungerande SAML-baserad katalog kan du lägga till synkkapacitet i den befintliga konfigurationen.
  • Om du har konfigurerat Azure Sync för en katalog kan du inte hantera användare manuellt eller använda andra metoder för användarsynkronisering. Se kommentarer före synkning och vanliga frågor om du vill veta mer.

Översikt

Du kan lägga till Azure Sync till valfri katalog i Adobe Admin Console för att automatisera dess användarhantering. I Azure Sync används SCIM-protokollet för användarhantering och du får kontroll över användare och grupper som skickas till Adobe. Azure AD-användare som synkas med Adobe Admin Console är unika och kan tilldelas en eller flera produktprofiler.

När du har konfigurerat Azure Sync börjar Azure AD skicka data till Adobe Admin Console enligt Azure AD-katalogens användar- och gruppetablering. All information som hör till katalogen visas i avsnittet Inställningar i Adobe Admin Console.

Fördelar med Azure Sync

De största fördelarna med Azure Sync för din katalog i Adobe Admin Console är:

 Hantera allt i Azure AD

 Du kan kontrollera vilka data som skickas till Adobe.

 Du behöver ingen annan tjänst eller konfigurera något API.

 Anpassa mappning av Azure AD-användarattribut

 Du kan lägga till synkningen i tidigare konfigurerade kataloger.

 Du kan lägga till Azure Sync i kataloger som är konfigurerade för valfri IdP.

 Du kan enkelt registrera och avregistrera användare med Azure AD.

Förutsättningar

För att integrera användarhantering med Azure AD i Adobe Admin Console behöver du följande:

  • Microsoft Azure AD-konto med användar- och gruppdata
  • Adobe-produkter som tillhör en av dessa: Creative Cloud for enterprise, Document Cloud for enterprise eller Experience Cloud 
  • En federerad katalog i Adobe Admin Console med verifierade domäner

Scenarier där integrering stöds

Katalogkonfigurationer kan variera och Azure Sync stöder olika scenarier, vilket kräver extra steg för att konfigurera Azure Sync. Använd tabellen och följ stegen för din katalogkonfiguration:

Scenario för katalogkonfiguration

Metod för att lägga till synkning

Enskild federerad katalog med en eller flera domäner i samma Azure AD-klient. 

Följ stegen i Lägg till Sync för att börja använda Azure Sync. 

Flera federerade kataloger med en eller flera domäner som tillhör samma Azure AD-klient. 

  1. Konsolidera domäner i en enskild federerad katalog. 
  2. Följ stegen i Lägg till Sync för att börja använda Azure Sync. 

 

Flera federerade kataloger med en eller flera domäner som tillhör olika Azure AD-klienter.  

  1. Följ stegen i Lägg till Sync för att börja använda Azure Sync för en enskild katalog.
  2. Upprepa konfigurationen av Azure Sync för alla separata kataloger som behöver synkning. 

 

Kommentarer före synkningskonfiguration

Följ punkterna nedan och se de bästa metoderna och Adobe Recommendations innan du konfigurerar Azure Sync:

  • Exportera listan över befintliga användare innan du lägger till Azure Sync för att hålla koll på alla användarkonton och tilldelade licenser när du konfigurerar.
  • Om du har konfigurerat Azure AD SSO med Open ID Connect (OIDC) måste du lägga till ett nytt Adobe Identity Management-program i Microsoft Azure Portal för att konfigurera katalogsynkning.
  • Om du har konfigurerat Azure AD SSO med SAML använder du det befintliga Adobe Identity Management-programmet för att konfigurera katalogsynkning. Följ anvisningarna i Microsofts dokument om hur automatisk användardistribution konfigureras med Adobe Identity Management-programmet.
  • Azure Sync skiljer e-postadressen från användarnamnet, vilket gör att användarna kan ha olika värden för e-postadress och användarnamn för att validera inloggning och åtkomst till Adobes produkter och tjänster, samarbeta i projekt, dela filer osv.​ Följ anvisningarna i Microsofts dokument om anpassning av attributmappning för användardistributionen.
  • Om du integrerar Azure Sync i en katalog med Federated ID-användare kontrollerar du att formatet för användarnamnsfältet matchar användarens huvudnamn (UPN) i Azure AD innan du kör den första synkningen.
    Om dessa värden inte matchar uppfattar Admin Console det som ett nytt användarkonto och skapar dubbla poster för en enskild användare. Du kan uppdatera attributmappningen för att vara säker på att de värden som skickas genom synkningen matchar värdena i användarprofilerna i Admin Console, som automatiskt uppdaterar kontona vid nästa synkning.
  • Azure Sync kan bara upprättas i en Admin Console som har minst en federerad katalog och domän konfigurerad. Om Admin Console tillsammans med Azure Sync (ägande konsol) har en betrodd relation med andra Admin Consoles (förvaltande konsoler) måste förvaltarna använda en annan sorts användarhantering, t.ex. verktyget för användarsynkning, User Management API eller CSV-massöverföring, för att skapa, hantera och licensiera användare med Federated ID.
    Om du vill lägga till användare i en förvaltande konsol för licenstilldelning måste du först lägga till användaren i den ägande konsolen.
  • Om din organisation använder verktyget för användarsynkning eller en UMAPI-integrering måste du först pausa integreringen. Lägg sedan till Azure Sync för att automatisera användarhanteringen från Azure AD. När Azure Sync har konfigurerats och körs kan du ta bort verktyget för användarsynkning eller UMAPI-integreringen.
  • Din organisation måste ha en Premium- (P1 eller P2) eller Microsoft 365-prenumeration (E3 eller A3) med Azure AD för att använda gruppbaserade tilldelningsfunktioner. Du kan också välja specifika grupper och användare som ska synkas till Adobe Admin Console.
    Organisationer utan dessa prenumerationsnivåer kan bara synka samtliga användare och grupper med Adobe Admin Console på en gång. Systemet synkar alla användare och grupper automatiskt och genererar ett Adobe Federated ID för de synkade användarna. Läs mer om Azure AD-prenumerationsplaner och uppdateringsalternativ.
  • Om du vill flytta en domän till eller från en katalog som har upprättats med Azure Sync måste du först aktivera redigering tillfälligt för katalogen. När det har aktiverats flyttar du önskad domän till eller från den Azure AD-synkade katalogen innan du inaktiverar redigeringsfunktionerna för katalogen.
  • Azure Sync synkar inte användare från grupper med attributet HiddenMembership i Azure AD. Om du vill synka specifika användare måste du skapa en grupp i Azure AD och kopiera respektive användare till den nya gruppen.

Lägg till Azure Sync i en federerad katalog

Du kan lägga till Azure Sync i en federerad katalog i Adobe Admin Console med de nödvändiga domänerna länkade till den. Följ processen nedan för att lägga till synkning till en upprättad federerad katalog:

  1. Gå på fliken Inställningar i Adobe Admin Console till Kataloginformation > Synka. Klicka på Lägg till synkning.

  2. Välj Synka användare från Microsoft Azure och klicka på Nästa.

  3. Steg i Microsoft Azure Portal:

    Lämna Admin Console-fönstret öppet och öppna Microsoft Azure Portal i ett separat webbläsarfönster. Följ sedan anvisningarna i Microsofts dokument om hur automatisk användaretablering konfigureras.

    Obs!
    • Du kan synka kapslade grupper från Azure AD via Azure Sync-integrationen, även om kapslade grupper inte synkas automatiskt när gruppens överordnade nod läggs till i synkningsomfånget. Du bör även lägga till Kapslade grupper i omfånget för att inkludera dem i den automatiska synkningen.

    • Organisationer måste ha en Premium- (P1 eller P2) eller Microsoft 365-prenumeration (E3 eller A3) med Azure Active Directory för att använda gruppbaserade tilldelningsfunktioner som tillåter en administratör att välja specifika grupper och användare som de enda objekten som ska synkas med Adobe Admin Console.

      Organisationer utan dessa prenumerationsnivåer kan bara synka enskilda användare (inte grupper) eller alla användare och alla grupper i Azure Ad till Adobe Admin Console. Kolla Microsoft Azure-prenumerationen för att bekräfta organisationens nivå och kontakta en representant för Microsoft om det behövs.

    Efter konfigurationen börjar Azure bearbeta och skicka data för etablering i Adobe. Du kan få andra instruktioner via självstudier om Microsoft Application Management
    .

  4. Markera rutan i Adobe Admin Console-fönstret för att bekräfta auktorisering av Adobe-åtkomst och att konfigurationen har slutförts i Microsoft AD. Välj sedan Klart.

  5. Gå tillbaka till kataloginformationen > SynkaSynkningskälla visas.

    Azure Sync är integrerat med din katalog men synkningen har inte börjat än. För att starta synkningen måste du klicka på Gå till Inställningar och redigera synkningsinställningarna.

Redigera synkningsinställningar

En systemadministratör kan uppdatera inställningarna för synkningskällan när konfigurationen är klar genom att välja Gå till Inställningar på fliken Kataloginställningar > Synka. De här inställningsalternativen finns:

  • Tillåt redigering av synkade data i Admin Console: När Azure Sync har upprättats omfattas alla användare och synkade grupper i en katalog automatiskt av synkningshantering. När du har aktiverat redigering kan du redigera synkade data i Admin Console under en kort period. Eventuella ändringar som görs under den här tiden påverkar inte användarinformationen i Azure AD utan ersätts av ändringsförfrågningar från din identitetsleverantör.

    Viktigt:

    Som standard måste du redigera synkade data från identitetsleverantören och sedan låta ändringarna överföras via synkning. Vi rekommenderar inte att du ändrar data manuellt i Admin Console om det inte är absolut nödvändigt.

  • Synkningsstatus: Instruerar Azure Sync att avvisa ändringsförfrågningar från Azure AD. När statusen för Användarsynkning är Av överförs inga ändringar i Azure AD (användarinformationens källa) till Adobe Admin Console. 

  • Redigera konfiguration av användarsynkning: Dirigerar om dig till konfigurationsinstruktionerna för att redigera användarsynkning. Använd detta om det modala fönstret stängs innan synkningskonfigurationen slutförts eller om du måste ändra saker i Azure AD efter den ursprungliga konfigurationen.

Ta bort synkning

Administratörer kan välja att sluta synka från en federerad katalog i Admin Console. Om du slutar synka blir katalogen och dess tillhörande domäner, användargrupper och användare kvar. Det enda som sker är att det skrivskyddade läget tas bort från katalogen och dess användare och grupper.

Du kan sluta synka en katalog genom att välja Gå till Inställningar från fliken Kataloginställningar > Synka och sedan välja Ta bort synkning. Den här åtgärden tar bort synkningskonfigurationen permanent från Admin Console. Om det behövs kan du återställa synkningen med samma eller en annan katalog.

Obs!

Domäner går inte att flytta till eller från en katalog som hanteras av Azure Sync i samma organisation.  När Azure Sync har tagits bort från käll- och/eller målkatalogen kan en domän från den katalogen flyttas till en annan målkatalog, och domäner från andra källkataloger kan flyttas till den katalog som inte längre hanteras av Azure Sync. 

Inaktivera användare och grupper

Vid en implementering av Azure Sync skapas nya federerade användarkonton och användare synkas till Adobe Admin Console. Administratörer kan också avetablera användare och grupper som har lagts till via Azure Sync med de tre metoderna nedan (i Microsoft Azure Portal):

  • Ta bort användare från alla synkade grupper i Azure AD

  • Mjuk radering av användare från Azure AD

  • Ta bort alla grupper som användaren ingår i från etableringsomfånget i Azure AD

De här tre åtgärderna inaktiverar användare i Adobe Admin Console. En inaktiverad användare kan inte längre logga in och visas som Inaktiverad i listan Kataloganvändare. Azure Sync fortsätter hantera en användare som har avetablerats med någon av dessa metoder. Varken användarens konto eller molnlagrade resurser har tagits bort från organisationen. 

Ta bort en användare och tillhörande data från Admin Console: Välj Gå till Inställningar på fliken Kataloginställningar Synka och klicka på Aktivera redigering. Gå sedan till Användare > Kataloganvändare och välj användaren från listan för att ta bort kontot permanent.

När redigering är aktiverad går det att redigera de synkade uppgifterna i en timme innan funktionen inaktiveras automatiskt. Vi rekommenderar att du klickar på Inaktivera redigering direkt efter att du tagit bort användare för att se till att Admin Console återspeglar ändringar i Azure AD.

Viktigt:

Om du tar bort en användare permanent tas användaren och alla molnlagrade resurser som tillhör användaren bort. Det går inte att återställa användaren eller resurserna när detta har gjorts.

Karantänpolicy

Adobe och Microsoft har en karantänpolicy för att hantera många felanrop under synkningsoperationer. 

Azure AD:s etableringstjänst övervakar konfigurationens hälsa och försätter ohälsosamma appar i ”karantän”. Om de flesta eller alla anrop som görs till målsystemet misslyckas hela tiden på grund av ett fel, t.ex. ogiltiga administratörsuppgifter, försätts etableringsjobbet i karantän. Under karantänen minskas frekvensen av inkrementella cykler gradvis till en gång per dag. Etableringsjobbet tas bort från karantänen när alla fel har åtgärdats och nästa synkningscykel startar. Om etableringsjobbet förblir i karantän i mer än fyra veckor inaktiveras det (slutar köras). Läs mer om apptilldelning i karantänstatus i Azure AD.

Adobes tjänst övervakar själv synkningshälsan för att verifiera när felfrekvensen överstiger en viss tröskelnivå under en viss tid. Ett minsta antal förfrågningar som resulterar i ett fel som når upp till tröskelvärdet gör att en tillfällig karantän införs, vilket leder till att alla anrop och uppdateringsförfrågningar från Azure AD avvisas under en tid, varefter anropen accepteras igen för att försöka med synkningen igen. Om anropen med fel kvarstår läggs synkningen på is under en längre karantänsperiod. Om Adobe inleder karantänen kan det också leda till en efterföljande karantän i Azure på grund av de avvisade anropen, som räknas med i felfrekvensen i Azure. Observera att Adobe förbehåller sig rätten att uppdatera karantänparametrarna utifrån löpande dataanalys. 

Vanliga felmeddelanden

Det finns ett antal vanliga felmeddelanden som du måste vara medveten om när du hanterar Azure Sync från Azure AD. Det underlättar att förstå orsaken till de olika felmeddelandena när du felsöker då fel uppstår.

Läs mer om att övervaka driftsättningen i Azure AD.

Felsöka synkningsproblem

Eftersom Adobe Admin Console använder Microsofts tjänst Azure Sync felsöker man alla synkningsproblem i Azure AD. Du kan läsa Microsofts konfigurationsinstruktioner för att lösa några vanliga problem. Om du inte hittar en lösning rekommenderar vi att du kontaktar Microsofts support och ber om mer hjälp.

Följ anvisningarna nedan för att diagnostisera ett synkningsproblem:

  1. Bekräfta din användar- och gruppinställning:

    Se till att du har konfigurerat användare och grupper enligt installationsinstruktionerna:

  2. Bekräfta mappningen av användaruppgifterna: Microsofts dokumentation.

  3. Övervaka din etableringsapp för att hitta problem som kan påverka synkningen:

    Om användarna inte visas i etableringsloggarna kanske de inte ingår i omfånget. Om etableringsloggarna uppvisar ett problem måste du fixa till det så att användaren kan synkas. Microsofts dokumentation

  4. Powershell-tillägg:

    Använd Azure Powershell-tillägg för att identifiera eventuella problem med användarens Azure AD-post.

    Bekräfta användardata med följande PowerShell-kommandon. Om du behöver tid på dig att utföra allt detta ska du aktivera redigeringsläget i Admin Console för att göra de tillfälliga ändringarna:

    1. Install-Module AzureAD
    2. Connect-AzureAD -Credential (Get-Credential)
    3. Get-AzureADUser -ObjectId <användarens e-postadress> | FL
  5. Tillåt redigering av synkade data i Admin Console:

    När du har aktiverat redigering kan du redigera synkade data i Admin Console under en kort period. Eventuella ändringar under den här tiden påverkar inte användarinformation i Azure AD. Senare ersätter identitetsleverantörens ändringsförfrågningar automatiskt dessa korta ändringar.

Hantera befintliga användarkonton

Ytterligare steg krävs för att konvertera alla befintliga användare utan Federated ID till Federated ID-typen.

Viktigt:

Tilldela INTE synkade federerade användare några produkter under redigering av identitetsbyte. Det ska göras direkt efter synkning men före produkttilldelning.

Användare som har ett befintligt konto utan Federated ID i Admin Console kan migreras till ett Federated ID-konto när Azure Sync har upprättats. När de har konverterats skickar Azure AD dessa konton till Adobe Admin Console.

Gör så här för att se till att alla molnlagrade resurser migreras till användarens nya identitetstyp:

  1. Konfigurera Azure Sync för användare som redan har ett ID som inte är ett Federated ID i Adobe Admin Console. Alla användare med ett befintligt ID som inte är ett Federated ID har nu både ett annat ID och ett Federated ID i Adobe Admin Console.

  2. Följ anvisningarna i Redigera identitetstyp via CSV för att ändra användare utan Federated ID till typen Federated ID. Se till att följande information överensstämmer:

    • Matcha fälten Username och Email med fälten Username (UserPrincipalName) i Azure AD.
    • Matcha FirstName och LastName med motsvarande fält i Azure AD.

    Vid inloggningen med det nya Federated ID kommer användaren att få ett alternativ om att automatiskt migrera molnlagrade resurser till det nya kontot.

Nästa steg

När du har lagt till Azure Sync i din katalog importeras alla användare och användargrupper till Adobe Admin Console och uppdateras regelbundet. Sedan måste du ge de här användarna åtkomst till sina Adobe-program:

  1. Skapa och hantera produktprofiler: Skapa lämpliga produktprofiler och koppla dem till användare och användargrupper för att finjustera vem som får använda vilka program och tjänster från Adobe. Se hur du kan hantera produkter och produktprofiler.
  2. När användarna tilldelas de valda produkterna får de ett e-postmeddelande. Användarna kan hämta och installera Creative Cloud-datorprogrammet direkt.
    Om användarna inte har administratörsbehörighet måste du skapa och driftsätta rätt paket.
  3. Skapa och ta paket i drift: För att ge dina användare åtkomst till programmen skapar och driftsätter du programpaketen på deras datorer. Användarna måste logga in med sina SSO-autentiseringsuppgifter för att kunna använda program och tjänster. Mer information finns i Skapa paket för namngiven användare-licensiering.

Om du är administratör för en institution rekommenderar vi att du aktiverar rollsynkning efter att ha konfigurerat Azure Sync. Läs om Rollsynkning för utbildning.

Få hjälp snabbare och enklare

Ny användare?